본문 바로가기
bar_progress

글자크기 설정

닫기

KAIST "필수 보안 소프트웨어가 해킹 통로로 악용"

시계아이콘01분 43초 소요
숏뉴스
숏 뉴스 AI 요약 기술은 핵심만 전달합니다. 전체 내용의 이해를 위해 기사 본문을 확인해주세요.

불러오는 중...

닫기
뉴스듣기 글자크기

한국은 의무적으로 금융 보안 소프트웨어를 설치해야 하는 유일한 국가다. 하지만 금융 보안 소프트웨어가 오히려 보안 위협에 노출될 우려를 키운다는 지적이 나왔다. 이를 해결하기 위해선 보안 프로그램을 강제 설치하기보다, 웹사이트와 인터넷 브라우저에서 설정한 안전한 규칙과 웹 표준을 따르는 '근본적 전환'이 필요하다는 것이 전문가 제언이다.


KAIST "필수 보안 소프트웨어가 해킹 통로로 악용" (윗줄 왼쪽부터) 김용대 교수, 윤인수 교수, 김형식 교수, 김승주 교수 (아랫줄 왼쪽부터) 윤태식 연구원, 이용화 연구원, 정수환 연구원 등 공동연구팀 구성원. KAIST 제공
AD

KAIST는 전기 및 전자공학부 김용대·윤인수 교수 연구팀이 고려대 김승주 교수팀, 성균관대 김형식 교수팀, 보안 전문기업 티오리(Theori) 소속 연구팀과 '한국 금융보안 소프트웨어의 구조적 취약점'을 분석한 연구 결과를 2일 발표했다.


우선 공동연구팀은 북한의 사이버 공격에서 한국의 보안 소프트웨어가 주요 표적이 되는 이유에 주목해 원인 분석을 진행했다. 이 결과 국내 보안 소프트웨어가 갖는 설계상 구조적 결함과 소프트웨어 구현상 취약점이 동시에 드러났다.


무엇보다 국내에서 금융 및 공공서비스를 이용할 때 보안 프로그램 설치가 의무화된 점은 사이버 공격의 주요 표적이 되는 원인 중 하나로 작용한다. 구조적 결함과 구현상 취약점이 되레 사이버 공격의 경로로 악용되고 있다는 것이다.


실례로 공동연구팀은 국내 주요 금융기관과 공공기관에서 사용하는 7종의 주요 보안 프로그램(Korea Security Applications·이하 KSA 프로그램)을 분석해 총 19건의 보안 취약점을 발견했다. 주요 취약점은 ▲키보드 입력 탈취 ▲중간자 공격(MITM) ▲공인인증서 유출 ▲원격 코드 실행(RCE) ▲사용자 식별 및 추적 등이다.


일부 취약점은 공동연구팀의 제보로 패치(응급조치로 프로그램의 일부를 빠르게 수정)됐지만, 보안 생태계 전반을 관통하는 근본적 설계 취약점은 여전히 해결되지 않은 상태다.


같은 이유로 공동연구팀은 "보안 소프트웨어가 '사용자의 안전을 위한 도구가 돼야 한다'는 기본 전제가 지켜지지 않고, 되레 공격의 통로로 악용될 수 있다"는 점을 지적하면서 "보안 생태계의 근본적 패러다임 전환이 필요하다"는 점을 강조했다.


가령 국내 금융보안 소프트웨어는 웹 브라우저의 보안 구조를 우회해 민감한 시스템 기능을 수행하도록 설계됐다.


이때 브라우저는 원칙적으로 외부 웹사이트가 시스템 내부의 파일 등 민감 정보에 접근하지 못하도록 제한하지만, KSA는 키보드 보안, 방화벽, 인증서 저장으로 구성된 이른바 '보안 3종 세트'를 유지하기 위해 루프백 통신, 외부 프로그램 호출, 비표준 API 활용 등 브라우저 외부 채널로 이러한 제한을 우회하는 방식을 사용한다.


이러한 방식은 2015년까지 보안 플러그인 ActiveX를 통해 이뤄졌지만, 보안 취약성과 기술적 한계로 ActiveX 지원이 중단돼 근본적인 개선이 이뤄질 것으로 기대됐다.


하지만 실상은 실행파일(.exe)을 활용한 유사한 구조로 대체돼 기존의 문제를 반복하는 한계를 보였고, 이 때문에 브라우저 보안 경계를 우회하거나 민감 정보에 직접 접근하는 보안 리스크가 여전히 남았다는 것이 공동연구팀의 지적이다.


특히 이러한 설계는 ▲동일 출처 정책(Same-Origin Policy·SOP) ▲샌드박스 ▲권한 격리 등 최신 웹 보안 메커니즘과 정면으로 충돌해 새로운 공격 경로로 악용될 수 있다는 사실이 실증적으로 확인했다.


실제 공동연구팀이 전국 400명을 대상으로 실시한 온라인 설문조사에서 응답자의 97.4%는 '금융서비스 이용을 위해 KSA를 설치한 경험이 있다'고 응답했으며, 이중 59.3%는 '무엇을 하는 프로그램인지 모른다'고 답했다.


실사용 PC 48대를 분석했을 때는 1인당 평균 9개의 KSA가 설치됐고 다수는 2022년 이전 버전, 일부는 2019년 버전을 사용 중인 것으로 확인되기도 했다.


김용대 교수는 "구조적으로 안전하지 않은 시스템은 작은 실수로도 치명적인 보안 사고를 야기할 수 있다"며 "이제는 비표준 보안 소프트웨어 설치를 의무화하기보다, 웹 표준과 브라우저 보안 모델을 따르는 방향으로 전환할 필요가 있다"고 말했다.


AD

또 "그렇지 않으면 KSA는 향후에도 국가 차원의 보안 위협의 중심이 될 것"이라고 우려했다.




대전=정일웅 기자 jiw3061@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>

AD
AD

당신이 궁금할 이슈 콘텐츠

AD

맞춤콘텐츠

AD

실시간 핫이슈

AD

놓칠 수 없는 이슈 픽

  • 25.06.1114:00
     송인수 "채용을 바꿔야 교육이 바뀐다"
    송인수 "채용을 바꿔야 교육이 바뀐다"

    "출신 대학을 보고 채용하는 문화가 바뀌지 않는 한 대한민국 교육의 미래도 없다." 송인수 교육의봄 대표는 아시아경제의 인터뷰에서 "기업이 채용할 때 지원자의 능력보다 '출신학교'를 보고 뽑기 때문에 학벌 경쟁이 벌어지고, '학벌'을 얻기 위해 사교육비 폭증이 생기는 것"이라면서 이같이 말했다. 2020년 창립한 교육의봄은 대한민국 교육 문제 해결을 위해서는 '학벌 없는 채용'이 핵심이라고 보고, 기업의 채용 변화에 나

  • 25.06.1114:00
     윤지관 "대학 특성화로 서열 구조 타파해야"
    윤지관 "대학 특성화로 서열 구조 타파해야"

    "대학 특성화를 통해 지방 대학을 살려야 서울 중심 대학 서열 체제를 해결할 수 있습니다." 윤지관 대학문제연구소 소장은 아시아경제와 만나 "서울 중심의 대학 서열 구조는 교육을 넘어 저출산의 원인이 되는 한국 사회의 근본적 문제"라고 말했다. 2014년 설립된 대학문제연구소는 대학 문제가 고등교육만이 아니라 인구, 사회불평등구조, 국민복지, 지역균형발전 문제 등 국가 의제와 맞닿아 있다는 인식 아래 해법을 연구해

  • 25.06.1114:00
     남궁지영 "정권 변해도 교육 정책은 백년가야"
    남궁지영 "정권 변해도 교육 정책은 백년가야"

    수능 응시자 3명 중 1명은 N수생인 시대다. N수생 증가는 수능 대비를 위한 사교육 증가, 부모의 사회경제적 지위에 따른 교육 불평등 확대 등의 부작용을 낳는다는 점에서 개선되어야 할 대표적인 교육 문제로 꼽힌다. 최근 N수생 실태를 조사한 남궁지영 한국교육개발원 선임연구위원은 아시아경제와 인터뷰에서 "잦은 입시 정책 변화를 최소화하는 것이야말로 교육 개혁의 첫걸음"이라고 말했다. 남궁 연구위원은 "2019년 조국

  • 25.06.1015:00
     벤 넬슨 "입시, 대학 자체 기준으로 뽑아야"
    벤 넬슨 "입시, 대학 자체 기준으로 뽑아야"

    "한국의 대학 입시 제도 개혁을 위해서는 모든 대학이 '하나의 시험'으로 인재를 선발할 게 아니라, 각 대학이 원하는 인재상에 따라 자율적으로 뽑을 수 있어야 한다고 생각합니다." 벤 넬슨(Ben Nelson) 미네르바 대학 설립자 겸 최고경영자(CEO)는 아시아경제와 가진 서면 인터뷰에서 "대학별로 자체적인 입학 기준을 가져야 한다"면서 이같이 말했다. 넬슨 설립자는 대학의 인재 선발 확대가 수험생(학생)들이 자신에게 적합

  • 25.06.1015:00
     양오봉 "국가교육委 역할과 권한 강화해야"
    양오봉 "국가교육委 역할과 권한 강화해야"

    양오봉 한국대학교육협의회 회장(전북대 총장)은 '입시 지옥'으로 대변되는 한국 교육의 문제를 해결하기 위해 "창의적인 토론형 교육으로의 전환이 시급하다"고 말했다. 양 총장은 아시아 경제 인터뷰에서 "초등학교 교육부터 대학 교육까지 지식 전달식(주입식)으로 교육이 이뤄지는 것이 문제"라고 짚으면서 "창의적이고 창조적인 교육보다는 암기, 지식 전달 위주의 교육이 아직도 개선이 안 되고 있다"고 말했다. 양 총장은

  • 25.06.1506:00
    결별과 화해 반복하는 트럼프와 머스크, 재결합하나
    결별과 화해 반복하는 트럼프와 머스크, 재결합하나

    도널드 트럼프 대통령과 일론 머스크 테슬라 CEO의 관계가 극적인 변화를 겪고 있다. 취임 초기 '브로맨스'로 불릴 정도로 가까웠던 두 사람은 극심한 갈등을 거쳐 최근 다시 화해 국면으로 접어들었다. 이들의 관계 변화는 단순한 개인적 불화를 넘어 미국 정치와 산업계 전반에 큰 파장을 미치고 있다. 트럼프 대통령과 머스크의 관계는 2024년 대선 당시 절정에 달했다. 머스크는 트럼프 대통령을 전적으로 지원하며 선거 승리에

  • 25.06.1408:00
    트럼프가 가로막은 하버드 유학…美 대학 전역으로 퍼지나
    트럼프가 가로막은 하버드 유학…美 대학 전역으로 퍼지나

    트럼프 행정부가 하버드대학교를 겨냥한 전방위적 압박에 나서면서 전 세계 유학생들 사이에 큰 혼란이 일고 있다. 표면적으로는 중국 공산당과의 연계를 문제 삼고 있지만, 실제로는 하버드대의 진보적 성향과 반유대주의 시위에 대한 정치적 공세라는 분석이 지배적이다. 트럼프 행정부는 지난 몇 주간 세 차례에 걸쳐 하버드 대학교 유학생 등록을 막고 비자 발급을 취소하려 했지만, 매번 미국 연방법원의 제동에 부딪혔다. 하

  • 25.06.1109:50
    강원택 "국민의힘 한심, 다투는 것도 한가로워"
    강원택 "국민의힘 한심, 다투는 것도 한가로워"

    강원택 서울대 정치학부 교수가 아시아경제 시사 유튜브 채널 'AK라디오'에 출연해 "이재명 정부의 첫인사는 무난했다. 문재인 정부 첫인사보다 낫다"고 평가했다. 지난 10일 오전 10시 서울 중구 충무로 아시아경제 스튜디오에서 1시간 동안 진행된 인터뷰에서 강 교수는 "당장은 경제가 급하지만, 이 대통령이 국가의 장기 발전과 관련한 인프라를 깔 필요가 있다"고 조언했다. 또 "입법권이 사법권을 침해하는 듯한 모양새를 연

  • 25.06.0707:30
    美 월가 새 경제용어, '타코'에 트럼프가 격분한 이유
    美 월가 새 경제용어, '타코'에 트럼프가 격분한 이유

    최근 미국 월가에서 '타코(TACO)'라는 신조어가 화제를 불러일으키고 있다. 이는 멕시코 음식 타코가 아닌, 도널드 트럼프 대통령의 오락가락하는 관세 정책을 비판하는 용어로 사용되고 있다. 트럼프 대통령이 기자회견장에서 이 용어를 사용한 기자에게 "무례하다"며 강하게 반발한 가운데, 사회관계망서비스(SNS)에서는 트럼프 대통령을 조롱하는 영상들이 쏟아지고 있는 상황이다. 월가의 신조어 타코는 'Trump Always Chicken

  • 25.06.0517:15
    ②박명호 교수 "이 대통령 과반 못 넘은 것 항상 유의해야"[AK라디오]
    ②박명호 교수 "이 대통령 과반 못 넘은 것 항상 유의해야"[AK라디오]

    5일 오전 9시 아시아경제 유튜브 채널 'AK라디오'에 출연한 박명호 동국대 정치학과 교수는 "이재명 대통령은 기회와 위기 요인을 동시에 갖고 있다"며 "단기보다는 중장기를 준비하는 리더십을 기대한다"고 말했다. 박 교수는 "보수의 키맨은 이준석·한동훈이 될 것"이라면서 "총선이 많이 남아 있어 국민의힘의 변화가 쉽지 않을 것"이라고 내다봤다. 대선 결과가 주는 시사점은 무엇인가. 승부는 이미 결정된 선거였다. 기본적


다양한 채널에서 아시아경제를 만나보세요!

위로가기